JNDIExploit-v1.11.jar 反序列化工具，使用可参考文章 [ vulhub漏洞复现篇 ] WebLogic Server 远程代码执行漏洞复现 (CVE-2023-21839)

序列化与反序列化 序列化：把对象转换为字节序列的过程。 反序列化：把字节序列恢复为对象的过程。 举个例子，在JVM中，对象是以一定形式存在于内存中，然后被JVM识别从而可以以“对象”的方式是用它。那么序列化是什么呢，简单来说就是把内存中的对象的状态先以一种方式导出保存下来以便今后在某地方能够继续使用它。 序列化的组件 IDL（Interface description language）文件：参与通讯的各方需要对通讯的内容需要做相关的约定（Specifications）。为了建立一个与语言和平台无关的约定，这个约定需要采用与具体开发语言、平台无关的语言来进行描述。这种语言被称为接口描述语言（I

shiro反序列化工具，加强版

marshalsec命令格式如下： java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec. [-a] [-v] [-t] [ []] 参数说明： -a：生成exploit下的所有payload(例如：hessian下的SpringPartiallyComparableAdvisorHolder, SpringAbstractBeanFactoryPointcutAdvisor, Rome, XBean, Resin） -t：对生成的payloads进行解码测试 -v：verbose mode, 展示生成的payloads gadget_type：指定使用的payload arguments - payload运行时使用的参数 marshalsec.：指定exploits，根目录下的java文件名

shiro反序列化一键测试工具

ActiveMQ反序列化漏洞（CVE-2015-5254）漏洞利用工具，说明文档已存在请进行查看

使用环境： jkd1.8 在目标中输入目标服务器的IP和端口号即可

Celery 4.0 Redis未授权访问+Pickle反序列化利用（celery3_redis_unauth）exploit Celery < 4.0版本默认使用Pickle进行任务消息的序列化传递，当所用队列服务（比如Redis、RabbitMQ、RocketMQ等等等）存在未授权访问问题时，可利用Pickle反序列化漏洞执行任意代码。

包含的17年之前的所有Java反序列化漏洞，有需要可以直接用，我平时就在用

[{"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],"test":"432"}, {"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],"test":"432"}] 数组里面封装数组的反序列化方法，通过两个bean，进行封装